Miko27

Есть еще одно не понятное мне из теори: [Правила входной и выходной цепочек применяются ко всем и каждому интерфейсу системы!] значит к eth0 и eth1? Получается пакет в одну сторону проходит 5 цепочек ? 2 раза входную 2 раза выходную и 1 раз продвижения ? А когда возвращается оивет опять проходит 5 цепочек ? Объясните пожалуйста как это понять?

Схема такая: Есть FireWall eth0 - смотрит в подсеть 10.200.2.0/24 eth1 - смотрит в подсеть 192.168.2.0/24 Включен Masquerading Машина с адресом 192.168.2.3 отправляет пакет машине 10.202.2.5 (допустим на порт 100) и получает ответ. У меня вопрос непростой, но очень меня интересующий - что же происходит с пакетом (его путь) на FireWall и в дебрях IPchains. Попытаюсь описать как я это понимаю, в меру своей неопытности, опытные люди меня поправте или дополните. 1. Пакет уходит с 192.168.2.3 предназначен для 10.202.2.5 2. Т.к. адреса -s (source) и -d (destination) пакета не находятся в одной сетке, то пакет отправляется на gateway (192.168.2.1 - eth1 FireWall). 3. Пакет входит в систему FireWall (определяется как входящий). Пакет входит в систему с интерфейса eth1. 4. Проверяется на CRC и т.д. (все ОК). 5. Во входной цепочке (Input) есть правило разрешающее прохождение этого пакета. 6. Пакет поадает в цепочку продвижения (Forward) и там для него правило маскарадинга. 7. Пакет попадает в выходную цепочку (Output), т.к. становится исходящим из системы (Цепочка его пропускает). 8. Пакет уходит через eth0 в подсеть 10.200.2.0/24 9. 10.202.2.5 получает пакет. Отвечает. 10.Пакет идет с 10.202.2.5 на FireWall и становится входящим. 11.Проверка на CRC и попадает во входную цепочку (Input) (разрешает). 12.Попадает в цепочку продвижения (Forward) (демаскарадинг). 13.Пакет становится исходящим и попадает в цепочку Output (разрешает). 14.Через eth1 уходит в сеть 192.168.2.0/24 15.Хост 192.168.2.3 принимает ответ. Есть еще одно не понятное мне из теори: [Правила входной и выходной цепочек применяются ко всем и каждому интерфейсу системы!] значит к eth0 и eth1? Получается пакет в одну сторону проходит 5 цепочек ? 2 раза входную 2 раза выходную и 1 раз продвижения ? А когда возвращается оивет опять проходит 5 цепочек ? Объясните пожалуйста как это понять? Спасибо. Доброго дня!

cppmm писал(а) Tue, 27 March 2007 15:56 Думаю, тоже возможно, но вот подсказать уже не смогу. С ipchains работать не приходилось. Ok. Спасибо за нужные советы. Буду пробывать...

cppmm писал(а) Tue, 27 March 2007 10:50 Одновременно iptables и ipchains не заработают, но что Вам мешает написать аналогичное правило для iptables? Дело в том, что у меня дистрибутив с ядром 2.2 Висит на старой машине. Все в консоли. А в ядре 2.2 по умолчанию IPchains вместо iptables. Покачто хотелосьбы узнать IPchains потом перейду на ядро 2.4 и iptables

Хорошо.Я откорю путь для DNS на FireWall Смогу ли я тогда, хотя бы, в IPchains отсеивать пакеты по DNS именам, если все пойдет через прокси провайдера, как я писал выше ? Например ipchains -A input -d www.host.org -j DENY

>> Так как политика стоит DROP, нужно будет ещё разрешить dns-запросы << DNS, t.e. bind na FireWall ne budet. Budut ispolzovatsja DNS provajdera., kotorie propisivajutsja na kazdoj rabochej stancii v svojstvah protokola TCP/IP Ili eto ne variant ? Etim DNS provajdera toze nado budet otkritj putj v Ipchains?

Схема такая: 192.168.0.0/24 <-> FireWall(Masquerading) <-> 10.202.х.0/24 <-> Router (провайдера) <-> 10.202.0.0/14 <-> Proxy (провайдера) <-> Internet Схема может тупая, но такая Немного поясню - Провайдер выделил одной большой организации (состоит из нескольких управлений) ,к примеру, подсеть 10.202.0.0/14. Нашему управлению дали подсеть 10.202.х.0/24 В други управлениях подсеть 10.202.y.0/24 и т.д. В Интернет можно выползать только через проки провайдера. Значит моя подсеть 10.202.х.0/24, но аудит нашей большой организации требует, что бы у каждого упрвления бал свой FireWall, что бы управления одной организации не проникали в сетки друг-друга Поэтому я делаю еще одну подсеть,к примеру, 192.168.0.0/24 и она делает маскарадинг в мою подсеть 10.202.х.0/24, а там на Router (провайдера) и потом в подсеть 10.202.0.0/14. Но смысла в таком FireWall не много. Конечно скрывает мою сетку от 10.202.0.0/14, но вопос следующий. Хочется использовать FireWall для его прямого назначения - фильтрации пакетов (например закрыть юзерам интернет-радио, mIRC, Skype, доступ к определенным сайтам). Но смогу ли я это сделать ? Ведь мой FireWall всегда будет получать не реальный IP и порт, а порт Proxy провайдера и немаршрутизированные адреса сетки 10.202.0.0/14. Значит нет никаких вариантов мне фильтровать пакеты, приходящие из внешней сети Интернет на мой FireWall ? Опытные Админы рассказите так я понял, или всета - ки как - то смогу фильтровать пакеты из внешней сетки своим FireWall. ? СПАСИБО!!! ХОРОШЕГО ВАМ ДНЯ!!!